WordPressはどのサーバーでも同じように動くわけではなく、サーバーの品質と設定によって表示速度・安定性・セキュリティが大きく左右されます。適切なサーバーを選ばないまま運用を始めると、後から問題が発生したときの対処が難しくなります。この記事では、WordPressを安定して運用するためのサーバー選びのポイントと、設定時に確認しておくべき項目を整理します。
WordPressが動くために必要な環境
WordPressを動かすには、PHP・データベース・SSLの3つが揃った環境が必要です。
PHPはWordPressそのものを動かすプログラム実行環境で、バージョン8.0以上が推奨されています。古いバージョンでは新しいプラグインが動かなかったり、セキュリティサポートが終了したバージョンを使い続けるリスクが生じます。データベースはMySQL 5.7以上またはMariaDB 10.4以上が必要で、記事・設定・ユーザー情報などWordPressのすべてのコンテンツが格納されます。SSLはhttps://での通信を実現する仕組みで、現在はWordPressを運用するすべてのサイトで有効化が前提です。
現在の主要なレンタルサーバーはこれらをほぼ標準で満たしていますが、古いプランや格安プランでは対応PHPのバージョンが古いまま据え置かれているケースがあります。契約前に対応バージョンを確認しておきましょう。
サーバー選びで特に確認したい項目
WordPressの動作に直接影響する項目を中心に、契約前に確認しておきたいポイントをまとめます。
PHPのバージョンと切り替え対応
WordPressは新しいPHPバージョンへの対応を継続的に進めており、古いPHPを使い続けるとプラグインの動作に問題が出たり、セキュリティサポートが切れたバージョンを使い続けることになります。PHP 8.1以上に対応しており、かつ管理画面からバージョンを自分で切り替えられるサーバーを選ぶのがおすすめです。WordPressやプラグインのアップデートに追随するためには、PHPバージョンを柔軟に変更できる環境が必要になります。
SSD対応かどうか
ディスクがSSDかHDDかによって、データベースの読み書き速度に差が出ます。WordPressはページを生成するたびにデータベースを参照するため、ディスクの速度がページの表示速度に直結します。現在の主要なレンタルサーバーはほぼSSDに移行していますが、格安プランや古いプランではHDDが使われているサービスもあるため、念のため確認しましょう。
同時接続数とCPU制限
共有サーバーではCPUやメモリの使用量に上限が設けられており、アクセスが集中したときにサイトが重くなる・エラーが返るという問題が起きることがあります。特にキャンペーンやメディア掲載によって短時間にアクセスが集中するサイトでは、プランのスペック制限を事前に確認しておくことが重要です。スペック制限が仕様書に明示されていないサービスでも、サポートに問い合わせると目安を教えてもらえる場合があります。
WordPressの自動インストール機能
多くのサーバーは管理画面からWordPressをワンクリックでインストールできる機能を提供しています。手動インストールでは、WordPressのファイルをサーバーにアップロードし、データベースを作成して接続設定を行う手順が必要です。自動インストール機能を使えばこれらが自動化されるため、WordPressを初めて使う場合や複数サイトを管理する場合に便利です。
バックアップ機能
WordPressのデータはデータベース(記事・設定・ユーザー情報)とファイル(テーマ・プラグイン・アップロード画像)の2種類に分かれており、両方をバックアップする必要があります。サーバー側の自動バックアップが有効かどうか、バックアップから自分で復元できるかどうかを確認してください。自動バックアップの保持期間が短いサービスでは、WordPressのバックアッププラグイン(UpdraftPlusなど)を使って外部ストレージに別途バックアップを取る運用を合わせて検討しましょう。
設定時に確認しておきたいこと
WordPressをインストールした後、最初に済ませておくべき設定と確認項目を整理します。
SSL証明書の有効化
WordPressをインストールしたら、まずSSLを有効化してURLをhttps://に統一しましょう。多くのレンタルサーバーではLet's Encryptの無料SSL証明書を管理画面から数クリックで有効化できます。SSL有効化後は、WordPressの管理画面(設定 › 一般)でWordPressアドレスとサイトアドレスの両方をhttps://に変更してください。既存のコンテンツにhttp://のリンクが混在している場合は、プラグイン(Really Simple SSLなど)を使って内部リンクを一括変換します。
WordPressのサイトURLとホームURL
WordPressの設定には「WordPressアドレス(URL)」と「サイトアドレス(URL)」の2つがあります。両方がhttps://で始まる正しいドメインになっているかを確認してください。ここが正しく設定されていないと、管理画面にアクセスできなくなったり、フロントページが想定と異なるURLで表示されたりすることがあります。SSL有効化の直後に必ず確認する習慣にしておくと安心です。
ファイルのパーミッション
FTPでファイルをアップロードする場合、ファイルのパーミッション(アクセス権限)が適切でないと、プラグインのインストールや画像のアップロードが失敗することがあります。一般的にフォルダは755、ファイルは644が標準的な設定です。レンタルサーバーでは自動的に設定されていることが多いですが、プラグインのインストール時にパーミッションエラーが出る場合は確認してみましょう。
PHP設定の調整
WordPressのテーマやプラグインによっては、PHPの動作設定の調整が必要になることがあります。画像や動画のアップロードサイズ上限(upload_max_filesize)、POSTデータのサイズ上限(post_max_size)、PHPのメモリ使用上限(memory_limit)、スクリプトの最大実行時間(max_execution_time)などが調整対象になります。主要なレンタルサーバーでは.htaccessや管理画面上の設定から変更できますが、変更できる値の範囲と変更方法はサービスによって異なります。高解像度の画像を多く扱うサイトや、処理の重いプラグインを使う場合は早めに確認しておくと安心です。
WordPressのセキュリティ設定
WordPressは世界的に広く使われているため、攻撃の標的になりやすい側面があります。基本的なセキュリティ設定を確認しておきましょう。
ログインページの保護
WordPressのデフォルトのログインURL(/wp-login.phpや/wp-admin/)は、自動化された総当たり攻撃の標的になりやすいです。管理者ユーザー名をadmin以外の固有の名前に変更することと、英数字・記号を含む12文字以上のパスワードを設定することが最低限の対策です。ログイン試行回数を制限するプラグイン(Limit Login Attempts Reloadedなど)を導入すると、総当たり攻撃による不正ログインのリスクをさらに下げられます。レンタルサーバーのアクセス制限機能を使って/wp-login.phpへのアクセスを特定のIPアドレスに限定する方法も有効です。
WordPressのバージョン管理
WordPressは定期的にセキュリティパッチを含むアップデートが提供されます。古いバージョンには既知の脆弱性が残っているため、できるだけ最新の状態を維持することが重要です。管理画面から自動アップデートを有効にしておくと、セキュリティ修正を含むマイナーアップデートが自動で適用されます。プラグインとテーマのアップデートも同様で、長期間更新されていないプラグインは脆弱性が放置されているリスクがあります。使っていないプラグインやテーマは無効化するだけでなく削除しておくのが安全です。
WAFの活用
レンタルサーバーが提供するWAF(Web Application Firewall)を有効にすると、SQLインジェクションやクロスサイトスクリプティングなど、Webアプリケーションに対する一般的な攻撃パターンをサーバー層で自動ブロックできます。WordPressのプラグインによるセキュリティ対策と組み合わせることで、多層的な防御になります。管理画面からワンクリックで有効にできるサービスが多いですが、WAFの設定によってフォーム送信が誤ってブロックされることがあるため、有効化後は問い合わせフォームや決済フォームの動作を確認してください。
まとめ
WordPressの安定した運用には、PHP・データベース・SSL・バックアップが揃ったサーバーを選ぶことが基本です。
サーバー選定後も、SSL設定・バックアップ・セキュリティ設定を丁寧に行うことで、トラブルを大幅に減らせます。設定が不安な場合は、初期設定を専門家に依頼することも選択肢の一つです。